taxi

Leonixx, findest du nicht auch, daß ich hier gut aufgehoben bin?

Wärest du nicht verdammt traurig, nichts mehr von mir zu hören??

Also gut, da bin ich :angel:

Malwarebytes hat folgendes gefunden: Trojan.Agent !! Und zwar in C/Dokumente und Einstellungen, Kategorie files.

Es ist jetzt in Quarantäne,aber ich weiß nicht, ob es von dort ausbrechen kann 8o

Und jetzt?

taxi

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1691
Windows 5.1.2600 Service Pack 3

26.01.2009 16:17:51
mbam-log-2009-01-26 (16-17-34).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 74292
Laufzeit: 8 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Conny Schmitt\Anwendungsdaten\Desktopicon\eBayShortcuts. exe (Trojan.Agent) -> No action taken.


================================================== ================================

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:33:12, on 26.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\SkyTel.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1230028878105
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5450 bytes

stockcarpilot

Hallo taxi

Wenn sich ein Schädling in der Quarantäne befindet, ist er erst einmal Isoliert und kann keinen weiteren Schaden anrichten. Ich würde einfach auf löschen clicken und einen neuen Scan im abgesicherten Modus machen. Eigentlich sollte er weg sein. Nun noch einmal mit Avast scannen und fertig.
Aber vielleicht möchtest du ja auf Leonixx warten...

Gruß stockcarpilot

Leonixx

Hallo Taxi,

schon wieder im Lande? Erstmal keine Panik. Diese ebayshortcut.exe wurde mit dem Programm Unlocker bei der Installation mitgeschleppt. Es handelt sich hier nicht unbedingt um einen Trojaner. Hast bei der Installation leider übersehen die Ebaysachen wegzuklicken. Deshalb wurde der ganze Mist mitinstalliert.
Wenn es sich mit Malwarebytes löschen läßt (Auswahl entfernen), dann löschen. Danach Ccleaner anwenden und Müll beseitigen. Dann Rechner neustarten und neuen Scan. Sollte der Ebay-Mist immer noch das sein, dann musst du manuell weitermache.

Hier die Anleitung.

Zunächst deinstalliere Unlocker. Dann gehst du auf Start ausführen. Dann kopiere jeden Satz in das Ausführen Fenster rein und auf OK. Dann werden dir diese Dateien angezeigt. Alle löschen.

%ProgramFiles%\Unlocker\eBay_shortcuts_1016.exe
%UserProfile%\Application Data\Desktopicon\eBayShortcuts.exe
%UserProfile%\Desktop\eBay.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\eBay.lnk
%UserProfile%\Start Menu\eBay.lnk

Dann musst du wieder in die berühmte Registry navigieren. Start, Ausführen, Regedit eingeben und durchklicken. Wenn du den Schlüssel gefunden hast, löschen.
HKeyLocalMachine\SOFTWARE\Microsoft\Windows\Curren tVersion\Run /v UnlockerAssistant /f

Nach dem ganzen Krimskrams System mit Ccleaner bereinigen.

Das sollte es dann auch gewesen sein mit dem Ebay Müll
Für die Zukunft. Beim Installieren immer darauf achten, was dort steht. Es kann nämlich schnell passieren, dass man sich eine Toolbar mitinstalliert, die man gar nicht will. Also immer auch mit den Äuglein die Installation betrachten.

Gruss Leonixx

taxi

Hallo stockcarpilot..... erstmal danke für deine Antwort. Ja, stimmt, ich habe nach Leonixx gebrüllt, weil ich im Laufe der Zeit die Erfahrung gemacht habe, daß man sich zwar alle Vorschläge anhören kann,aber letztendlich besser nur auf Einen hört, sonst gibt das ein ewiges hin- und her von Meinungen :angel:

Aber wie gesagt, ich lese mir immer jeden einzelnen Beitrag durch...... sowas bildet ...

Leonixx, was heisst hier "schon wieder"..... ich wäre schon viel früher hier gelandet, aber ich hatte Schwierigkeiten, meinen PC wieder zusammenzubauen. Das war nötig, nachdem mir irgendeiner gesteckt hat, daß sich hinter der Grafikkarte.......ach, lassen wir das besser mal.... :sasmokin:

Einfach unmöglich mit dem ebay-Zeug und das regt mich voll auf, denn ich HABE darauf geachtet, was ich installiere und ich bin mir ganz ganz sicher, daß ich den Haken bei diesem Müll entfernt habe ! Bei der Installation merkte ich dann,daß das doch mit draufgepinnt wird :headbang:

Ich melde mich, ob alles geklappt hat .....

Uff, gottseidank nichts schlimmes :winke:

Leonixx

Habe mich jetzt hinter dem Arbeitsspeicher versteckt

Ja, melde dich wenn es Probleme gibt.

Gruss Leonixx :winke:

taxi

wwwischsch und weg....Das glaub´ich ja jetzt nicht, daß bei mir mal die einfache Variante gefruchtet hat 8o

Es ließ sich ganz einfach löschen und taucht nach einem neuen Scan nicht mehr auf.

Prima, dann ist ja wieder alles ok :daumen:

PS:von Paragon habe ich leider nichts mehr gehört. 3 x probiert und nix..... Ich bekomme nur immer den Hinweis, daß ich ne Rückmail bekomme und das war´s :weini:

So und jetzt wird´s Zeit,daß ich mich hier verdünnisiere. Eigentlich wollte ich ja kochen, aber jetzt muß ich erstmal in den Baumarkt um mir so ein Hartschaumreinspritzpistolending zu besorgen.Jede verdammte Ecke rund um meinen Arbeitsspeicher werde ich damit behandeln. JEDE !! :headbang:

Leonixx

Hiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiilfe *flücht* ab in den Monitor

Bitte nochmal nachprüfen, ob alle Einträge weg sind. Wie schon gepostet unter Start-Ausführen, diese Zeilen einzeln eingeben und nachschauen, ob die Daten noch vorhanden sind. Wenn ja, dann manuell löschen.

%ProgramFiles%\Unlocker\eBay_shortcuts_1016.exe
%UserProfile%\Application Data\Desktopicon\eBayShortcuts.exe
%UserProfile%\Desktop\eBay.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\eBay.lnk
%UserProfile%\Start Menu\eBay.lnk

Gruss Leonixx

taxi

Hei :winke:

alles ordnungsgemäß reinkopiert, aber bei der 3.Zeile hat sich das ebay-Ding auf dem Desktop installiert und die ebay-Seite ging auf. Desktop Ding gelöscht und danach nochmal alle Zeilen reinkopiert......únd dann hat er irgendso was geschrieben wie "Ordner nicht gefunden"...... und das bei allen Zeilen.

Dann regedit.....und beim Versuch, den Schlüssel zu löschen kam die Mitteilung,daß man ihn nicht löschen kann!!!!!!!!!!!!!!!!

Noch irgendwelche Fragen???? :headbang:

Leonixx

Hi, :winke:

wenn du alles andere löschen konntest dann ist es in Ordnung. Den Schlüssel solltest du eh nicht löschen, da sonst unlocker nicht mehr funktioniert. Wenn dir angezeigt wird "Ordner nicht gefunden" heißt das, dass dieser bei der Entfernung mit Malwarebytes bereits gelöscht wurde.

Also, alles im Lot. :daumen:

Gruss Leonixx